“丝绸之路”首创人新闻成钓饵，利用Telegram传布恶意软件

首页 > 安全钻研 > 安全传递 > 安全简讯

“丝绸之路”首创人新闻成钓饵，利用Telegram传布恶意软件

颁布功夫 2025-01-24

1. “丝绸之路”首创人新闻成钓饵，利用Telegram传布恶意软件

1月22日，威胁行为者利用关于Ross Ulbricht（丝绸之路暗网市场首创人）的新闻作为钓饵，通过Telegram频路诱骗用户运行PowerShell代码。这次攻击是“Click-Fix”战术的新变种，由vx-underground发现。分歧于以往的谬误建复假装，这次攻击假扮成参与频路时的验证码或验证系统。攻击者通过X平台上的虚伪但经过验证的Ross Ulbricht账户，将用户疏导至看似官方的Telegram频路。在频路内，用户会遇到名为“Safeguard”的虚伪身份验证要求，最终会被疏导至一个Telegram幼法式，该法式会自动复造PowerShell号令到剪贴板，并提醒用户在Windows运行对话框中粘贴并执行。执行的代码会下载一个蕴含Cobalt Strike加载法式的ZIP文件，Cobalt Strike常被威胁行为者用于远程接见推算机和网络，这类习染往往是勒索软件和数据偷窃攻击的预兆。整个验证过程的说话设计得极为审慎，以预防引起用户疑惑。安全专家忠告，用户应预防在不确定的情况下在Windows“运杏妆对话框或PowerShell终端中执行在线复造的内容，对剪贴板内容感应不确按时，应粘贴到文本阅读器上分析，任何混合都是危险信号。

https://www.bleepingcomputer.com/news/security/telegram-captcha-tricks-you-into-running-malicious-powershell-scripts/

2. Chrome扩大法式面对供给链攻击威胁，数百万用户或受影响

1月22日，网络安全机构Sekoia发出忠告，指出针对Chrome扩发展发者的供给链攻击可能已经影响了数十万人。此类攻击始于2023年，最近的一次活动产生在2024年12月30日，旨在窃取如ChatGPT和Facebook for Business等网站的API密钥、会话cookie和其他身份验证令牌。加利福尼亚的Cyberhaven公司是这次攻击的受害者之一，其开发者账户在2024年节礼日期间被入侵。Booz Allen Hamilton的分析显示，很多其他Chrome扩大也可能受到影响，潜在受影响的最终用户数量可能达到数百万。一些受影响的扩大已从Chrome网上利用店撤下，而一些扩大的页面显示已进行更新。Reader Mode扩大的首创人向约30万用户发出公开信，奉告他们其扩大在2024年12月5日受到入侵。攻击者通过假装成Chrome网上利用店开发者支持的垂钓邮件，诱骗开发者点击恶意链接并核准恶意OAuth利用法式的接见权限，从而获得上传被入侵扩大到Chrome网上利用店的权限。Sekoia通过调查与网络垂钓邮件关联的域名，发现了这次攻击中使用的其他域名及可能涉及的先前攻击的域名，以为这个威胁行为者专门传布恶意Chrome扩大以网络敏感数据。

https://www.theregister.com/2025/01/22/supply_chain_attack_chrome_extension/

3. 千余恶意域名仿冒驰名平台传布Lumma Stealer窃密木马

1月22日，网络安全钻研人员发现，超过1000个恶意域名在仿冒Reddit和WeTransfer等驰名平台，传布近年来盛行的Lumma Stealer窃密木马，凸显了网络犯罪分子利用受信赖品牌糊弄用户下载恶意软件的复杂性。Lumma Stealer是一种壮大的信息窃取工具，可窃取密码、加密钱币钱包信息和浏览器数据等敏感信息。这些恶意域名与合法URL极为类似，甚至建设了有效的SSL证书，误导用户以为在接见安全网站，增长了用户成为网络垂钓攻击受害者的风险。Lumma Stealer选取多种技术执行恶意负载，如托管虚伪的CAPTCHA页面诱使用户执行PowerShell剧本下载恶意软件。这些恶意域名的增长反映了攻击者利用驰名平台名誉的趋向，通过社会工程学战术发送蕴含链接的电子邮件，将用户疏导至诓骗网站。攻击者还利用内容分发网络托管垂钓网站，逃避检测并耽搁攻击持续功夫。为应对这一威胁，网络安全专家建议验证URL、启用双成分认证和进行用户教育。

https://cybersecuritynews.com/1000-malicious-domains-mimic-reddit-wetransfer/

4. CISA将JQuery XSS缝隙参与已知被利用缝隙目录

1月23日，美国网络安全和基础设施安全局（CISA）已将jQuery悠久跨站点剧本（XSS）缝隙（CVE-2020-11023，CVSS评分：6.9）增长到其已知被利用缝隙（KEV）目录中。该缝隙存在于jQuery 1.0.3至3.4.1版本中，当使用蕴含不受信赖的HTML <option>元素的DOM步骤时，可能会执行恶意代码。此问题已在jQuery 3.5.0中得到建复。征询汇报指出，即便对来自不受信赖起源的元素进行了算帐，将其传递给jQuery的DOM操作步骤（如.html()、.append()等）仍可能引发安全风险。作为一时缓解措施，建议在使用jQuery步骤处置HTML前，使用DOMPurify的SAFE_FOR_JQUERY选项进行算帐。jQuery 3.5.0版本的重要变动是安全建复，其中jQuery.htmlPrefilter函数不再使用正则表白式，而是传递未更改的字符串。钻研员Masato Kinugawa汇报了这一缝隙。凭据CISA的操作指令，联国机构必须在2025年2月13日前建复此缝隙，以�；て渫缑馐芄セ�。同时，专家也建议个人组织审查该目录并解决其基础设施中的有关缝隙。

https://securityaffairs.com/173388/uncategorized/u-s-cisa-adds-jquery-flaw-known-exploited-vulnerabilities-catalog.html

5. Abnormal Security告发：专为网络犯罪打造的GhostGPT AI谈天机械人鼓起

1月23日，Abnormal Security在2024岁暮发现了一款名为GhostGPT的恶意AI谈天机械人，专为网络犯罪设计。这款工具可通过Telegram等平台轻松获取，为网络犯罪分子提供了前所未有的能力，蕴含造作复杂的网络垂钓电子邮件和开发恶意软件。与受路德和安全措施约束的传统AI模型分歧，GhostGPT不受这些限度，可能以前所未有的快率和轻松水平天生恶意内容。它很可能是使用包装器衔接到ChatGPT的越狱版本或开源LLM，从而解除了路德保险。GhostGPT降低了网络犯罪的门槛，使经验不及的参加者也能利用AI进行恶意活动，并以更高的效能提议更复杂、更具影响力的攻击。此表，它还优先思考用户匿名性，对追求暗藏犯法活动并逃避检测的网络犯罪分子很有吸引力。Abnormal Security的钻研人员测试了GhostGPT的职能，发现它展示了糊弄潜在受害者的能力。随着网络犯罪分子对人为智能的兴致日益浓密，网络安全社区必须不休创新和发展其防御措施，能力维持当先职位。

https://hackread.com/ghostgpt-malicious-ai-chatbot-fuel-cybercrime-scams/

6. J-magic恶意软件：针对瞻博网络设备的“魔包”攻击趋向分析

1月23日，J-magic是一种针对瞻博网络边缘设备的恶意软件，重要攻击半导体、能源、造作业和IT领域的组织。该恶意软件是cd00r后门的定造变体，通过监督TCP流量寻找拥有特定特点的“魔法术据包”来启动反向shell。据Lumen威胁钻研和运营部门Black Lotus Labs的钻研人员称，J-magic活动在2023年至2024年期间活跃，旨在实现低检测度和持久接见。约莫一半的指标设备配置为组织的VPN网关。J-magic会查抄各类字段和偏移量，若是数据包满足特定前提之一，就会天生反向shell，但发送者需先解决RSA挑战能力接见受习染设备。只管J-magic与同样基于cd00r后门的SeaSpy恶意软件在技术上类似，但存在一些差距，使得难以成立联系。Black Lotus Labs的钻研人员以为，J-magic攻击活动批注，针对企业级路由器的恶意软件使用正成为一种趋向，由于此类设备很少进行电源循环，恶意软件驻留在内存中，且通常不足基于主机的监控工具。

https://www.bleepingcomputer.com/news/security/stealthy-magic-packet-malware-targets-juniper-vpn-gateways/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研